Il reste moins de 5 mois aux entreprises et organismes pour être prêts. En effet, c’est le 25 mai 2018 que le RGPD va entrer en vigueur. A quoi correspond cette nouvelle mesure ? Que doivent faire les entreprises pour être en conformité avec la réglementation européenne ? Yumens vous explique simplement ce qu’est le RGPD*.
Qu’est-ce que le RGPD ?
Selon la dernière étude BVA d’octobre 2017, seuls 25% des Français estiment que la confidentialité de leurs données personnelles est correctement assurée sur internet. Plus globalement, 70% sont inquiets concernant la sécurité de ces données.
Pour répondre à cette défiance des internautes, le Parlement européen a mis en place le Règlement Général sur la Protection des données ou RGPD (Il est également appelé GDPR pour General Data Protection Regulation en anglais). Il s’agit d’une réglementation concernant la protection, le stockage, le traitement et la diffusion des données personnelles des citoyens européens (originaires ou vivant dans un pays de l’Union européenne).
Le projet de loi a trois objectifs :
- Consolider les droits des personnes physiques
- Renforcer les pouvoirs des autorités européennes
- Responsabiliser les entreprises qui traitent les données à caractère personnel
Livre blanc : "RGPD : Comment être compatible ?"
Quelques définitions pour vous aider à comprendre le RGPD
Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique identifiée ou identifiable. Par exemple : identité, coordonnées, données GPS, habitudes de consommations, adresse IP, ID de cookie… mais aussi trombinoscope, annuaire d’entreprise, etc.
Sont exclues les données réellement anonymisées (mais pas les données pseudonymisées).
Un traitement de données est défini comme toute opération ou ensemble d’opérations réalisées manuellement ou à l’aide de procédés automatisés. Par exemple : la collecte, l’enregistrement, la structuration, la modification, l’extraction, la mise à disposition…
Qui est concerné par le RGPD ?
Toutes les entreprises et organismes qui collectent ou traitent les données personnelles de citoyens ou résidents européens relèvent du RGPD.
Ce règlement impacte donc les entreprises B2B et B2C qui utilisent des bases de données à des fins de marketing publicitaire et toutes celles qui collectent des données en vue de créer des profils marketing. C’est donc un grand changement pour les entreprises B2B !
Quelles sont les obligations du RGPD ?
Afin de respecter ce texte de loi, les entreprises doivent donc se mettre en règle sur plusieurs aspects :
- Le consentement clair et loyal : vous devez avoir l’accord des personnes concernées pour traiter leurs données personnelles. Elles doivent pouvoir les corriger et s’opposer aux traitements marketing si elles en font la demande.
- Le droit à l’oubli : les données des personnes qui en font la demande doivent être supprimées.
- L’information obligatoire en cas de piratage : les personnes concernées ainsi que la Cnil doivent être tenues informées en cas de violation des données.
- La limitation des finalités : vous devez communiquer pourquoi vous traitez les données et combien de temps elles seront stockées.
- La sécurité : les données sensibles (santé, orientation sexuelle, religion, race et opinions politiques) doivent être protégées avec des garanties supplémentaires. De même, les informations collectées pour des demandes d’accords tels que des prêts, doivent être assurées par une personne (et non un ordinateur) si la demande est refusée.
- Le registre sur les traitements de données : c’est ce document qui vous sera demandé en cas de contrôle de la Cnil.
Les sanctions en cas de non-respect varient en fonction des infractions et vont d’un simple avertissement à une amende pouvant aller jusqu’à 4% du CA et 20 millions d’euros.
Un des objectifs du RGPD est de responsabiliser tous les acteurs du traitement des données personnels. Clients, sous-traitants, prestataires, chacun a son rôle à jouer !
Comment mettre en place le RGPD ?
A moins de 6 mois de l’entrée en vigueur de ce nouveau règlement, il est important de savoir précisément :
- L’endroit où sont stockées vos données ?
- La nature des traitements
- Si les traitements sont en conformité avec les règlements existants et à venir
- Les risques éventuels en matière de sécurité
Les impacts sont importants pour toute entreprise qui gère des données personnelles (même si elle ne les utilise pas à des fins marketing). Concrètement, il sera nécessaire de procéder à :
- La nomination d'un Data Privacy Officer (en interne, chez un sous-traitant ou un prestataire)
- Le recensement des traitements et des finalités
- La gestion des risques et études d'impacts (PIA)
- L’identification des actions à mener
- La procédure de sécurité
- La modification des traitements
- La documentation sur la conformité
Comment Yumens peut vous aider ?
La plupart des prestations fournies par Yumens (stratégie digitale, référencement naturel, rédaction de contenus, campagnes de liens sponsorisés, webdesign et ergonomie, web analyse, social media, veille stratégique ou formation) ne sont pas concernées.
Les prestations réalisées par Yumens se basant sur le traitement des données de vos clients sont concernées par le RGPD : les campagnes de retargeting utilisant des audiences, celles basées sur le customer match ou audiences similaires, la gestion des bases mails de nos clients. En effet, les informations et données sur les prospects ou clients sont traitées à des fins d’actions marketing. Yumens intervient dans ces cas toujours en tant que sous-traitant.
Pour vous accompagner dans cette réflexion et la mise en œuvre du RGPD pour votre entreprise, n’hésitez pas à contacter votre interlocuteur habituel chez Yumens, ou compléter notre formulaire de contact. Nos experts et notre DPO sont à votre service.
*Cet article vous donne un aperçu général de l’impact du Règlement Général sur la Protection des Données (RGPD) applicable dans l’Union européenne à partir de mai 2018. Il n’est en aucun cas une information ou un conseil juridique et n’est pas exhaustif.